Предоставляя доступ к платному контенту моделей, хакеры получают личные данные одиноких любителей женщин.
Злоумышленники используют поддельные фотографии OnlyFans для распространения трояна удаленного доступа (RAT) DcRAT , который позволяет похищать личные и учётные данные или развертывать программы-вымогатели на зараженном устройстве.
OnlyFans — это служба подписки на контент, где платные подписчики могут получить доступ к фотографиям, видео и публикациям моделей для взрослых, знаменитостей и блогеров.
Вредоносную кампанию, которая длится с января 2023 года, обнаружили специалисты eSentire . В ходе кампании киберпреступники распространяют ZIP-файлы, содержащие VBScript-загрузчик, который жертва запускает вручную, думая, что это премиум-коллекция OnlyFans.
Цепочка заражения неизвестна, но заманивание жертв может происходить в сообщениях на форуме, личных сообщениях жертвам, через вредоносную рекламу или даже сайты Black SEO (черная оптимизация), занимающие высокие позиции в определенных поисковых запросах. Один из образцов вредоносных файлов содержит обнаженные фотографии бывшей актрисы фильмов для взрослых Мии Халифы.
При запуске VBScript-загрузчика полезная нагрузка DcRAT загружается в память и внедряется в процесс «RegAsm.exe», законную часть .NET Framework, которая с меньшей вероятностью будет помечена антивирусными инструментами.
DcRAT (DarkCrystal RAT) – модифицированная версия AsyncRAT, которая находится в свободном доступе на GitHub и от которой ее автор отказался после того, как в сети появилось несколько случаев злоупотреблений инструментом.
DcRAT способен выполнять следующие действия:
Кроме того, DcRAT содержит подключаемый модуль программы-вымогателя, который нацелен на все несистемные файлы и добавляет расширение имени файла «.DcRat» к зашифрованным файлам.
Важно соблюдать осторожность при загрузке архивов или исполняемых файлов из сомнительных источников, особенно тех, которые предлагают бесплатный доступ к премиальному/платному контенту.
Одно найти легче, чем другое. Спойлер: это не темная материя